🔹 IPsec이란?
IPsec은 IP 계층에서 데이터를 암호화하고 인증하는 보안 프로토콜로, VPN(가상 사설망)과 같은 보안 통신을 제공하는 데 사용됩니다.
📌 1. IPsec의 주요 기능
기능설명
| 암호화 (Encryption) | 데이터를 암호화하여 기밀성을 보호 |
| 인증 (Authentication) | 송신자가 신뢰할 수 있는지 확인 |
| 무결성 (Integrity) | 데이터가 전송 중에 변조되지 않았는지 확인 |
| 재전송 방지 (Anti-replay Protection) | 동일한 패킷을 반복적으로 전송하는 공격 방지 |
📌 2. IPsec의 동작 방식
IPsec은 **터널 모드(Tunnel Mode)**와 전송 모드(Transport Mode) 두 가지 방식으로 동작합니다.
모드설명사용 사례
| 터널 모드 | 전체 IP 패킷을 암호화하여 새로운 IP 헤더를 추가 | VPN 연결 (사이트 간 보안 통신) |
| 전송 모드 | IP 페이로드(데이터)만 암호화 | 호스트 간 보안 통신 (예: 서버 간 암호화) |
📌 3. IPsec의 주요 프로토콜
프로토콜설명
| AH (Authentication Header) | 데이터의 무결성과 출처 인증 제공 (암호화 X) |
| ESP (Encapsulating Security Payload) | 암호화 + 무결성 + 인증 제공 |
| IKE (Internet Key Exchange) | 보안 키를 교환하는 프로토콜 |
🔹 AH vs ESP 비교
- AH: IP 헤더까지 인증하지만 암호화 기능 없음
- ESP: 데이터 암호화 기능 제공
터널링 라우터에서 보안 강화를 위한 IPSEC 설정
[라우터 1번 ACL 설정]
Router(config)#access-list 100 permit gre host 1.1.23.1 host 1.1.34.2 터널링 2번으로 호스트 지정
Router(config)#access-list 100 permit gre 192.168.10.0 0.0.0.255 host 1.1.34.2
[암호화 정책 설정]
Router(config)#crypto isakmp policy 10
Router(config-isakmp)#authentication pre-share
사전키 인증
Router(config-isakmp)#encryption 3des
기밀성 인증
Router(config-isakmp)#hash md5
무결성 인증
exit
Router(config)#crypto isakmp key [1234] address 1.1.34.2 / 목적지인 3번 터널링 IP 주소
Router(config)#crypto ipsec transform-set [test] esp-3des esp-md5-hmac //// 터널모드 진행 ( ESP 이용)
[CRYPTO 암호화 설정]
Router(config)#crypto map vpn-map 10 ipsec-isakmp
% NOTE: This new crypto map will remain disabled until a peer
and a valid access list have been configured.
Router(config-crypto-map)#match address [100] ///// ACL NUMBER = 100
Router(config-crypto-map)#set peer [1.1.34.2] //// 터널링 구축한 목적지 터널 IP 주소
Router(config-crypto-map)#set transform-set [test] /// [peer]인 라우터에서 동일 이름[test]으로 설정 필요
[INTERFACE 적용]
Router(config-crypto-map)#int s0/0/1
Router(config-if)#crypto map vpn-map
*Jan 3 07:16:26.785: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON
%DUAL-5-NBRCHANGE: IP-EIGRP 7: Neighbor 10.10.10.2 (Tunnel0) is down: holding time expired
상대측 주소 EXPRIED 팝업
%DUAL-5-NBRCHANGE: IP-EIGRP 7: Neighbor 10.10.10.1 (Tunnel0) is down: holding time expired
[라우터 2번]
설정 동일
매핑 후
%DUAL-5-NBRCHANGE: IP-EIGRP 7: Neighbor 10.10.10.1 (Tunnel0) is up: new adjacency
팝업 시 정상 설정 완료
GRE 터널링 연결 후 VPN 구축 시 IPSEC 설정으로 보안성 강화 가능
'IT 엔지니어 > 네트워크' 카테고리의 다른 글
| port-security (0) | 2025.03.21 |
|---|---|
| FIREWALL (0) | 2025.03.20 |
| Inter-vlan (0) | 2025.01.31 |
| 게이트웨이 이중화 (0) | 2025.01.25 |
| EIGRP (0) | 2025.01.24 |
